一、 调整原因
呼叫中心单台pc IP:172.16.8.184,需要访问香港主页需要在防火墙上配置nat转换
由于呼叫中心所有ip地址段(172.16.1/7/8)已经做了免认证设置,所以只需在2.2 SRX3400防火墙上放通IP地址:172.16.8.184访问香港主页即刻
(1)防火墙SRX3400配置:
set security zones security-zone Trust address-book address 172.16.7.207 172.16.7.207/32
///定义地址,将ip加入到地址页address-book中,并且取别名,本次的别名即是ip
set security zones security-zone Trust address-book address-set 2.2-peixunzuoxi address 172.16.7.207
///将地址页172.16.7.207加入到地址薄2.2-peixunzuoxi
set security nat source rule-set Rule1 rule N62 match source-address 172.16.7.207/32
set security nat source rule-set Rule1 rule N62 match destination-address
set security nat source rule-set Rule1 rule N62 then source-nat pool A6
///配置地址nat策略,junos配置策略必须是源地址、目标地址、匹配情况下,then执行,本句话是符合需求,源地址是172.16.7.207,目标地址任何,都执行nat转换,A6是一个nat后地址的别名。N62是看到原来配置rule,重新取得名字,不冲突即可
(2)由于防火墙SRX3400的策略是基于IP实现,所以必须在DHCP服务器上做MAC绑定,或在用户电脑上设置固定,确保IP不会改变,本次修改,客户已经设定固定IP,无需在DHCP服务器做任何设置。
(3)完成配置后,进行相关测试的指令:
huawei@B2.2
set security nat source rule-set Rule1 rule N62 match source-address 172.16.7.207/32
set security zones security-zone Trust address-book address 172.16.7.207 172.16.7.207/32
set security zones security-zone Trust address-book address-set 2.2-peixunzuoxi address 172.16.7.207
查看是否定义了policy,是否定义好IP,是否已经加入到地址薄
4.1 配置时间安排
由于本次调整风险较少,计划时间为:
5.2 风险控制
在修改防火墙配置前进行配置备份,如配置过程中出现异常风险,5分钟内无法解决,立即回退配置。
